我想过滤通过 Fedora Linux 机器上的虚拟网桥的数据包。我已启用多个指南中所述的以下 sysctl 选项:
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-arptables = 1
如果一个数据包从一个端口桥接到另一个端口,我希望它能够通过ip(6)tablesFORWARDING表链传递filter,但事实并非如此。
是否还有什么需要额外配置的?
曼努埃尔
答案1
您正在寻找 ebtables/brouting。它是 2.6 内核的一部分,可让您根据第 3 层信息做出第 2 层决策。
http://ebtables.sourceforge.net/br_fw_ia/br_fw_ia.html
我在之前的公司使用过这个来创建透明以太网桥,它可以将指定的数据包重定向(DNAT)到主机上的本地接口。